Встречаемся 19-20 мая на PHDays

Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!

Антон Бочкарев

Слив самого себя — лучшие практики от специалистов из АНБ.

Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:

Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!

Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.

Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.

Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.

"Все уже взломано, до нас"

Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.

Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.

Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.

Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.

PHDays подходит к концу

Что точно запомнилось всем? Это.

Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.

Пример шикарной шутки про очередь из комьюнити)

https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller

Все можно сломать — но ломали ли спутники?

Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.

Теперь техническую возможность подтвердили сотрудники французского оборонного концерна Thales — они взломали испытательный орбитальный наноспутник. В общем, теперь классика из кино в стиле "дай нам картинку с взломанного спутника" уже не только часть серии фильмов о Джеймсе Бонде. И хотя работа проводилась на тестовом стенде на конференции в Париже, нет особых сомнений, что нечто подобное можно сделать на практике.

А еще есть две других больших проблемы. Первая — это средний возраст спутников на орбите. Массовые устройства можно обновить или в конце концов заменить, со спутниками ситуация сильно сложнее. Вторая — это общая новизна задачи. Вопрос безопасности софта для объектов на орбите не то, чтобы очень популярный и хорошо изученный.

Из плюсов — даже взломав спутник, сделать с ним что-то совсем ужасное довольно сложно. Да, в космосе есть ядерные реакторы, но нет оружия. Падение его на Землю тоже не выглядит ужасной перспективой. Но потеря данных, и конфиденциальных — вполне возможна.

Простым языком про ИБ

Тут Антон записался в подкасте от чудесных ребят из команды "Серёжа и микрофон"(Их же подкаст БИГ НАМБРЗ). Вроде бы получилось достаточно интересно, просто и понятно. Мы вообще стараемся активно участвовать в такого рода движухах — это ведь не только про узнаваемость Антона и нашей компании, это еще и про популяризацию ИБ. А для нас это тоже важно.

https://vk.com/wall-189047791_582
Подкаст, к сожалению, эксклюзив для ВК, но это не помешало ему собрать 700К+ просмотров!

P.S.: а еще один из основателей 3side при просмотре с ностальгией вспоминал Илью Огурцова из "Реутов ТВ" ))

В России критически не хватает специалистов по ИБ

Тут "Зарплата.ру" вместе со Skillfactory провели опрос — выяснилось, что практически каждый третий руководитель считает, что в 3 квартале 2023 года он будет нуждаться в специалистах по ИБ. В первую очередь — в мидлах и начальниках отделов (для малого бизнеса это по-факту квази-CISO). Всего в России не хватает порядка 30 тысяч ИБ-специалистов.

Тут, правда, есть один неприятный момент — такого количества кибербезопасников, особенно опытных, в России чисто физически нет, и в ближайшее время не появится. Рынок растет со скоростью 30-40% в год, при этом людей на рынке физически стало меньше, если не говорить о выпускниках курсов, а они без дополнительной подготовки практически бесполезны.

И вот при классическом подходе проблема решается года за 3-4, и это при том, что опытные специалисты не продолжат уезжать. А с учетом разницы в уровне зарплат между IT и ИБ и даже между российским и не-российским ИБ, с учетом наличия Эмиратов, Саудовской Аравии, крупных международных компаний ... если честно, у нас вообще есть ощущение, что ИБ-специалистов на рынке в ближайшие годы радикально больше не станет.

А будет происходить еще большее расслоение между крупным бизнесом, который заткнет проблему деньгами "потому что может" и МСБ, который традиционно будет пытаться влезть в очень ограниченный бюджет. В который влезть практически невозможно. И нам очень хочется написать что-то в духе "мы — единственный доступный для МСБ способ получить качественные услуги по ИБ за вменяемые деньги", но мы об этом и так много раз писали.

В общем, поглядим что будет на рынке, но пока есть ощущение, что проблема с людьми — она на годы.

К сожалению, всякое бывает. Не надо так делать.

Отмена нашего участия в OFFZONE

К сожалению, наше запланированное участие в подготовке тату-зоны на OFFZONE отменяется. Чем больше компания, тем больше бюрократия и сложные внутренние правила влияют на договоренности. Все, кому я говорил, что уж в этом году тату-зона будет крутой и я все сделаю "как в 2018" — извините. В этом году я не буду за нее отвечать. Увы, но наше предварительно оговоренное условие "один баннер 3side около зоны" сейчас не было согласовано.

Из плюсов, выяснили мы это в середине подготовки, а не уже на месте. И времени было потрачено немного. Так бывает: чем больше людей, тем сложнее договариваться.

Вот вам фото со шкурой 2018 года, для привлечения внимания!

«Ребят, вы че издеваетесь? Это вам не курсы от мошенников!» — CyberEd запустили открытый и действительно годный проект по наступающей кибербезопасности, там работают наши друзья и в качестве их проекта сомневаться не приходится.

Все кто хочет вкатиться в кибербез, велкам к ним, новые профессионалы сейчас очень нужны рынку. Это не реклама — курс действительно сделан людьми из индустрии.

Утечка ключей прошивок MSI

Иногда операторы ransomware(шифровальщиков) добираются и до гигантов, а приводит это вот к чему. Операторами новой ransomware-групы Money Message были украдены ключи для электронной подписи прошивок MSI.
И эти ключи быстро и просто не отозвать, а некоторые не отозвать вообще никак, без замены чипов.

Чем это опасно?
Простыми словами это можно описать так.
При загрузке операционной системы, загрузчик опирается на цепочку доверия, а строится она на подписанных подобными ключами механизмах.
Только подписанные правильными ключами прошивки имеют право загружаться перед стартом операционной системы, дальше уже всю защиту берет на себя она, и ее средства защиты такие как антивирусы.
Теперь, получив ключи для подписи прошивок MSI, злоумышленники смогут внедриться в процесс безопасной загрузки на тех зараженных устройствах, где установлена материнская плата этого производителя.
А значит вредоносный код загрузится значительно раньше антивирусов и средств защиты операционной системы. Вирус сможет полноценно управлять работой ОС и противодействовать ему из под операционной системы будет невозможно.
И в ряде случаев, вирус сможет прописать свою прошивку в память материнской платы, тогда не поможет даже замена жесткого диска.

Кто под угрозой?
Те, чьи устройства базируются на материнской плате MSI, если они будут заражены.

Как проверить какая у меня материнская плата?
Windows: Нажмите кнопку Пуск , выберите Параметры > Система > Сведения о системе
Смотрите на строчку "Изготовитель основной платы"

Как этому противодействовать?
Ждать решения от MSI, но часть ключей уже предзаписаны в одноразовой памяти, их сменить не получится. Возможно они придумают как это обойти.
Максимально усилить защиту на уровне ОС, ведь чтобы закрепиться в загрузчике вредоносу нужно первоначально заразить систему.
Ну или если вы хотели пересобрать ПК, самое время поменять материнскую плату.

Более сложно и развернуто про это написали Касперски Лаб, прочитать можно тут.

"Операция Триангуляция", или о чем сегодня заявило ФСБ.

Сегодня ФСБ России выпустило пресс релиз об атаке на устройства Apple дипломатов и политиков.
СМИ побежали репостить, неискушенные безопасностью читатели побежали кричать, что IPhone – шпионский девайс, как они и думали. А специалисты задались вопросом «Какие ваши доказательства?».

Но вот доказательства появились, но там нет политики и «сотрудничества Apple», как мы и ожидали. Ведь доказательства и технические подробности выложили сами авторы расследования, эксперты Лаборатории Касперского! А они не про политику, они про технику и факты.

Что же они нашли?
С 2019 года происходит высокотехнологичная атака на дипломатов и других важных для политики деятелей с использованием эксплойтов для IPhone. Она похожа по своей сути на то, что когда-то использовали NSO Group, о чем мы писали тут.
• Дипломату приходит сообщение в iMessage с вредоносным вложением, которое вызывает в системе выполнение вредоносного кода без участия пользователя.
• Далее загружается несколько подмодулей вируса, обеспечивающих поднятие привилегий до системных.
• И в конце в оперативную память телефона загружается полноценная платформа для шпионажа, которая будет там находиться до перезагрузки устройства.
• А если телефон будет перезагружен, что в целом происходит не так часто, то телефон просто заразят повторно.

Пока анализ этого вредоноса продолжается, ждем еще подробностей.

Как от этого защититься?
Неизвестно, ждем рекомендаций исследователей и Apple.

Это массовая атака?
Таргетированная, заражаются телефоны людей представляющий интерес. Если вы не дипломат, маловероятно, что вы в списке.

Доказательств какой-либо помощи Apple в этой атаке в расследовании нет.
Технические подробности расследования можно прочитать тут, и там указаны все известные индикаторы компрометации.

Опыт CTF, решенные задания на площадках и прочие соревнования по ИБ - это о чем-нибудь говорит и чему-то учит?

На сколько CTF и прочие ИБ-шные соревнования вообще соответствуют задачам из реальной жизни? Есть разные мнения, от "лучше так, чем никак" до "CTF дает определенные знания". А с учетом дефицита ИБ-специалистов в стране, на сколько вообще опыт CTF может быть релевантен для работодателя?

Обо всем этом мы поговорим через неделю, 8 июня на Код ИБ Калининград. От нас там будет Антон с довольно обширной программой (Доклад + круглый стол + учения +круглый стол в ВУЗе).

В общем, будем рады увидеться!

Про бизнес и российскую ИБ

Мы тут, кажется, вписались в один очень любопытный проект по ИБ — очень большой и комплексный. О деталях расскажем после его завершения, а пока некоторые "рассуждения на тему".

Российская ИБ всегда была "впереди планеты всей" (ну, или на очень высоком уровне) по квалификации специалистов и качеству многих продуктов. К сожалению, с точки зрения управления ИБ-рисками, финансовой составляющей и сопутствующих продуктов (например, страхования киберрисков) мы всегда отставали от США и других стран. Что обидно — специалисты у нас не хуже.

Мы очень надеемся, что в ближайшие пару лет ситуация изменится, и мы бы очень хотели быть в авангарде такого рода изменений.

Киберучения для студентов

Легальная практика для студентов это очень важно для обучения и особенно вдохновения!
Если нужно что-то техническое, то вперед на CTF соревнования или решать HackThebox.

А организационное?
А организационные соревнования в Калининграде проводим вместе с КодИБ!

От нас будет один практический кейс на разбор и помощь одной из команд на кейсах других партнеров.
В будущем постараемся почаще участвовать в подобных партнерствах и активностях.

О цифровом следе для всех

Мы все чаще слышим понятие "цифровой след", особенно в контексте слежки за всеми нами. Самое смешное, что история о цифровом следе каждого из нас — это чаще всего не про теорию заговора, а про желание продать нам побольше всего.

Простыми словами о том, что это такое и почему это не "мировое зло" с которым каждый должен бороться, а лишь инструмент, который используют очень по разному и во вред, и во благо.

В подкасте "Люди и Код"

Moonlighter — космический полигон для хакеров

Несколько недель назад мы писали о взломе небольшого европейского спутника. Хакеры смогли получить контроль над системами кубсата, а главное — над его двигателями. Подобное событие ещё больше обозначило проблему в современной ИБ, а именно — безопасность орбитальных систем. Ведь они также могут стать объектами атак.

В США начали решать эту проблему, выделив деньги на постройку «хакерской песочницы» в космосе, а именно небольшого кубсата массой около 5 кг. Создателем спутника выступила корпорация The Aerospace Corporation, а отправила аппарат на орбиту Земли ракета Falcon 9 компании SpaceX.

Основная цель этой «песочницы» — это испытание космических систем безопасности в реальных условиях, то есть когда спутник не лежит перед хакером на столе, а находится в движении на расстоянии нескольких сотен километров. И это важно, потому что орбитальная механика вносит свои коррективы в процесс работы со спутником, банальная задержка сигнала это меньшая из проблем, в отличие от той же теневой зоны — когда спутник уходит за радиогоризонт и не может ни принимать команды, ни отправлять данные.

Устройство Moonlighter довольно простое — солнечные панели, несколько датчиков астронавигации и корпус с электроникой. А вот что в этой электронике загружено... Как уже писало выше, это — песочница. Изолированное программное окружение не позволит хакерам нанести критический урон система спутника или взять под контроль его навигацию и управление. Они смогут получить доступ только к заранее установленным системам аппарата. Принцип «песочницы» уже стал обыденностью повсеместно, допустим в той же операционке яблочных мобильных гаджетов — IOS, о чем мы писали ранее.

Американский кубсат будет подвергаться сразу нескольким атакам от разных команд. В этом и суть испытания: 5 команд финалистов состязания Hack-A-Sat в Лас-Вегасе будут ломать Moonlighter, а тройка лучших разделит денежный приз в 100 тысяч долларов. Об итогах конкурса и всего эксперимента мы узнаем в конце лета.

Как сказал один из участников прошлых конкурсов: «С Moonlighter мы пытаемся решить проблему до того, как она станет проблемой».

Использование шпионского софта может привести к отставке главы государства

По крайней мере, в Мексике такое вполне возможно. История простая — в телефоне местного уполномоченного по правам человека нашли следы израильского шпионского софта. Причем случай далеко не первый — до этого жертвами становились другие политики. Причина активизации простая — в Мексике огромные проблемы с правами человека, и если начать глубоко копать, можно накопать очень многое.

Что характерно, мексиканские власти отрицают какую-либо связь с израильской NSO Group за последние годы при том, что по неофициальным данным на покупку софта было потрачено около 0,3 млрд долларов. Кто конкретно применял софт, военные или прокуратура — не понятно, но история пахнет довольно неприятно. Самое смешное, что мексиканцы с радостью покупали Pegasus при любых президентах.

Что самое смешное, применение софта против наркокартелей с их тотальной паранойей в части ИБ не факт, что будет достаточно эффективной — мы уже писали о том, как картели даже строили собственные вышки сотовой связи, чтобы избежать слежки. А вот следить за потенциальными конкурентами в правительстве гораздо проще и удобнее. А с учетом того, что мексиканские власти с наркотрафиком как минимум не борются (а в некоторых случаях просто находятся в доле), выбор целей для взлома вызывает все больше вопросов.

Какой вывод мы можем сделать? Кибероружие — такое же оружие, как и любое другое. И мы уверены, что в ближайшем будущем его оборот станет все большей проблемой.

Угроза руководителям/основателям

Руководитель/основатель компании такой же человек, со своими слабостями и заблуждениями, которые часто эксплуатируют. Но иногда от рядовой угрозы, к которой мы все уже привыкли и зачастую относимся с иронией, может пострадать весь бизнес, партнеры, сотрудники, да вообще все причастные.

Я говорю о тех, кого часто называют «инфоцыгане», а корректнее «мошенники из сферы инфобизнеса». Казалось бы, человек, который основал бизнес и руководит им, мало подвержен подобному. Но, к сожалению, даже умудренный опытом человек может попасть под их влияние, поверить в «сказку» и поставить под угрозу не только свое финансовое благополучие, но и свою фирму. Прецеденты уже случались.

Краткая памятка о них в следующем посте. Поделитесь ей с друзьями и близкими!
Важно, чтобы человек узнал об этом, что это ДО попадания к ним на крючок, иначе вытащить его оттуда будет гораздо сложнее.